December 13, 2009
Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.
Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.
P.S.: Heise meldet zwei Tage später das hier.
2 Comments | 
Geschäft, IT, Security, Zahlenspiele | Tagged: Aberglaube, Antivirus, dreckstool, Drive-by-Download, McAfee, PDF | 
Permalink
Posted by Sven Türpe
November 28, 2009
Endlich räumt mal jemand mit den FUD-Geschichten vom googelnden Personalchef auf, der seine Entscheidung anhand längst verjährter Partyfotos aus Studententagen fällt:
»Es ist noch nicht lange her, da wurden Bewerber vor Personalchefs gewarnt, die angeblich nichts Besseres zu tun hatten als von morgens bis abends nach verfänglichen Partyfotos und peinlichem Privatkram im Internet zu stöbern.
(…)
Jetzt zeigt eine Studie, dass der Alarm übertrieben war. Denn bisher interessieren sich die wenigsten Personalexperten für soziale Netzwerke.«
(sueddeutsche.de: Soziale Netzwerke – Der Spion schläft)
Plausibel waren diese Geschichten ohnehin nie. Partyfotos liefern einfach keine relevante Information über einen Bewerber.
Leave a Comment » | 
Angst, Datenschutz, Geschäft | Tagged: FUD, Komafotos, Personalchef, soziale Netze | 
Permalink
Posted by Sven Türpe
November 15, 2009
Samstags beim Shopping. Die überlastete Fachkraft an der Kasse hat eine Diebstahlsicherung übersehen. Als Sie das Geschäft verlassen, geht der Alarm los. Was nun? Sich vor aller Augen dem Türsteher unterwerfen? Das kommt überhaupt nicht in Frage! So werden Sie lästige Kontrolleure los, ohne sich in die Einkaufstüten schauen zu lassen:
- Fühlen Sie sich zu nichts verpflichtet. Wenn es am Ausgang piept, dann bedeutet das nur eines: dass es am Ausgang piept. Es bedeutet nicht, dass Sie einen Schreck kriegen, stehenbleiben oder Ihre Unschuld beweisen müssen.
- Seien Sie selbstbewusst. Sie haben gerade ein Geschäft mit dem Ladeninhaber erfolgreich zum Abschluss gebracht, das im beiderseitigen Interesse liegt. So möchten Sie auch behandelt werden, als Geschäftspartner.
- Kommunizieren Sie. Dem Türsteher bleibt nichts anderes übrig, als Ihnen auf die Straße zu folgen und Sie anzusprechen. Selbstverständlich hören Sie sich erst einmal ruhig an, was der Mann zu sagen hat. Er wird Sie auffordern, mit ihm zurück in den Laden zu gehen, um die Sache dort zu klären. Darauf antworten Sie ebenso ruhig, wie Sie zugehört haben, mit einem einfachen: „Nein.” Dann schauen Sie ihn fragend an. Read the rest of this entry »
9 Comments | Forschung, Geschäft, Unterwegs | Tagged: Abenteuer Alltag, Experiment, Gentleman-Gangster, kleines Arschloch, Shopping, Social Engineering | Permalink
Posted by Sven Türpe
November 4, 2009
Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:
»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«
Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.
1 Comment | 
Geschäft, IT, Security, Vertrauen | Tagged: Gütesiegel, TÜV | 
Permalink
Posted by Sven Türpe
November 1, 2009
dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.
Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?
Leave a Comment » | Geschäft, Phishing, Security, Vertrauen | Permalink
Posted by Sven Türpe
October 31, 2009
Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.
Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?
Wenigstens sind sie aber ehrlich (Hervorhebung von mir):
»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«
Leave a Comment » | Geschäft, Propaganda, Security, Vertrauen | Tagged: .bank, Gütesiegel, Nonsens | Permalink
Posted by Sven Türpe
October 12, 2009
Für 90 Dollar bekommt man 10.000 geklaute E-Mail-Accounts, ein einzelner Account ist also ungefähr einen Cent wert:
»Unterdessen rückt Rik Ferguson von Trend Micro den Vorfall in die richtige Perspektive. 10.000 gestohlene Account-Daten seien nichts Ungewöhnliches. Die würden auf dem freien Markt etwa 90 Dollar kosten – wenn man die üblichen 10 Prozent Rabatt abzieht.«
(heise Security: Test für kompromittierte E-Mail-Accounts)
Weiß jemand, wie hoch im Vergleich dazu der Schaden pro Account ist?
Leave a Comment » | Geschäft, IT, Preisschild, Security | Tagged: account, E-Mail | Permalink
Posted by Sven Türpe
October 10, 2009
Auf der Website des Veranstalters heißt es, man erhalte eine Aufwandsentschädigung für Fahrtkosten. Was die Frage aufwirft, welche Motivation es für Eltern geben könnte, ihre Wänsdr zur Verfügung zu stellen.
Leave a Comment » | Forschung, Geschäft, Safety, Unterwegs | Tagged: Impfstudie, Jugendliche, Kinder, Schweinegrippe | Permalink
Posted by Sven Türpe
October 2, 2009
Man in the Middle im Real Life:
»Im Zeitraum von Juli 2008 bis April 2009 hatte er bei der Deutschen Bahn AG Jahresfahrkarten für die 1. Klasse unter fingierten Namen für existierende Großunternehmen im Raum Rüsselsheim bestellt.
(…)
In mühevoller Kleinarbeit konnten die Ermittler feststellen, dass der Einundzwanzigjährige im Auftrag der Post – als Fahrer eines Taxiunternehmens – Postsendungen an Großkunden in Rüsselsheim auslieferte. Den Zugriff auf Postsendungen vor der Auslieferung machte er sich zunutze, indem er die unter fingierten Namen bestellten Fahrscheine abfing. Auch nachfolgende Mahnschreiben der Deutschen Bahn AG fing er auf gleiche Weise ab.«
(Echo Online: Rüsselsheim. Polizei überführt Fahrkartenbetrüger; Pressemeldung der Polizei dazu)
Bevor jetzt aber jemand verschärfte Sicherheitsmaßnahmen gegen dieses offene Scheunentor fordert, der Angriff ist letztendlich gescheitert, denn man hat den Kerl geschnappt. Dem zu entgehen dürfte recht schwer sein, wenn man das krumme Geschäft nachhaltig betreibt. Man muss dazu erstens identifizierbar in der richtigen Position sitzen und zweitens die erschlichenen Fahrkarten zu Geld machen. Solange keiner einen Weg findet, dabei zuverlässig der Verfolgung zu entgehen, ist reaktive Sicherheit in Form der Polizeiarbeit und Strafverfolgung ausreichend.
5 Comments | Geschäft, Security, Unterwegs | Tagged: Fahrkartenbetrüger, MITM, Polizei, Prävention, Rüsselsheim, reaktive Sicherheit | Permalink
Posted by Sven Türpe
September 16, 2009
»Ein Botnetz, das zwischen 5000 und 10.000 Bots kontrolliert, kann laut Wüest für 10 US-Dollar pro Woche gemietet werden.«
(Heise online: Spam-Bots werten soziale Netze aus)
1 Comment | Geschäft, IT, Security, Zahlenspiele | Permalink
Posted by Sven Türpe
September 5, 2009
Kein technischer Fortschritt ist je aus einer Anwendungsvision hervorgegangen. Stets waren es Bastler und Tüftler, die ein Stück Technik um seiner selbst willen schufen und optimierten, die universelle Technologien entwickelten und der Menschheit zum Fortschritt verhalfen. Die Dampfmaschien war Auslöser der Industrialisierung, aber sie entstand nicht mit der Industrialisierung als Ziel; der Verbrennungsmotor ermöglichte Autos, Panzer und Flugzeuge, wurde aber nicht für Autos, Panzer und Flugzeuge geschaffen; der Weg zum Internet führte über die Entwicklung der Glühbirne und des Telegraphen, ohne dass dabei jemand an ein Internet gedacht hätte.
Genau umgekehrt stellt man sich die Sache vor, wo man versucht, den Fortschritt zu bürokratisieren. Wer schon einmal Fördergelder für die Forschung beantragt hat, der kennt dieses Spiel. Da kommt erst die Vision und dann die Technik. Das Ergebnis ist oft ziemlicher Käse, der schlichteren Naturen – Anforderungsanalyse ist anspruchsvoll – gleichwohl plausibel erscheint. Read the rest of this entry »
1 Comment | Geschäft, Propaganda, Stammtisch | Tagged: Anforderungen, Anwendung, Chipkarte, elektronischer Personalausweis, ePA, Fortschritt, Ingenieur, Vision | Permalink
Posted by Sven Türpe
September 4, 2009
Kein Scherz, sondern Werbung auf Spiegel Online:
»ROLAND bietet Führungskräften eine wichtige Ergänzung zum Universal-Straf-Rechtsschutz: das ROLAND U-Haft-Package.«
6 Comments | Geschäft, Risiko | Permalink
Posted by Sven Türpe
July 26, 2009
»The survey of 800 people in the U.S. and Canada found that one out of six said they have responded to a message they suspected was spam.«
(WSJ Digits: One Out of Six Responded to Spam, via)
Leave a Comment » | Geschäft, Zahlenspiele | Tagged: Spam | Permalink
Posted by Sven Türpe
July 22, 2009
Die Produktion in China halten wir gerne für ein Sicherheitsrisiko. Chinesen sind Schlitzohren und mit zunehmender Entfernung nimmt die gefühlte Kontrolle ab. Beides zusammen macht Angst. Die Realität aber kann so aussehen:
»Sun Danyong, 25, was tasked with sending 16 fourth-generation iPhone prototypes to Apple this month, but Apple only received 15 when the package arrived, according to Chinese media. Sun reportedly leaped from his apartment window last week, though police are investigating whether he may have been murdered, the Shanghai Daily said.«
(PC World: Foxconn Hands iPhone Suicide Case to Chinese Police)
Hand aufs Herz, welcher Sicherheitsbeauftragte würde nicht hin und wieder alle Ethik für einen Moment vergessen zumindest heimlich von solchen Möglichkeiten träumen?
Leave a Comment » | Geschäft, Risiko | Tagged: China, SCNR | Permalink
Posted by Sven Türpe
June 30, 2009
Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme, dann war’s vielleicht ein Datendieb. Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr. Sagt alles wenig aus, hört sich aber gut an.
Read the rest of this entry »
1 Comment | Datenschutz, Erich fragt, Fundbüro, Geschäft, Propaganda, Regierungsviertel, Risiko, Sicherheitshinweise, Studien, Zahlenspiele | Permalink
Posted by OK
